WebTRC 漏洞导致很多 VPN 用户的 IP 地址被暴露

阅读量197576

发布时间 : 2018-03-30 14:02:43

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:www.bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/many-vpn-providers-leak-customers-ip-address-via-webrtc-bug/

译文仅供参考,具体内容表达以及含义原文为准。

 

20% 的领先 VPN 解决方案因早在20151月出现的 WebRTC 漏洞而泄露用户的 IP 地址,然而一些 VPN 提供商似乎从未听说过这个漏洞。

研究员 Paolo Stagno (笔名是 VoidSec)发现了这个问题,他最近针对这个老旧的 WebRTC IP 泄露问题审计了83款 VPN 应用。Stagno 表示结果发现17个 VPN 客户端在通过浏览器浏览时泄露用户的 IP 地址。

Stagno 在一份 Google Docs 电子表格中发布了审计结果,不过由于他个人无力承担测试所有商用 VPN 客户端的成本因此所发布的清单是不完整的。

Stagno 目前正在要求用户测试所使用的 VPN 客户端是否受影响并将结果发回给他。为此他设立了一个演示网页,用户必须在启用 VPN 客户端的前提下通过自己的浏览器才能访问。该页面运行的代码也已发布在 GitHub 上,供用户开展本地测试,从而无需导致自己的 IP 地址暴露在别人的服务器上。

 

自从2015年WebRTC 为人所熟知

Stagno 的代码是基于安全研究员 Daniel Roesler 在2015年1月发现的WebRTC 漏洞。当时,Roesler 发现,如果该客户端使用了 –NAT 网络、代理或 VPN 客户端,负责调解 WebRTC 连接的 WebRTC STUN 服务器就会记录用户的公共 IP 地址以及私人 IP 地址。

问题在于,STUN 服务器应该会将这种信息披露给已经通过用户浏览器谈判了 WebRTC 连接的网站。此后,很多广告商和执法机构已经使用这个和 WebRTC 相关的漏洞获得网站访客的 IP 地址。

 

多数浏览器默认启用 WebRTC

当时,浏览器花费多年时间在代码中集成了 WebRTC 支持,推出了阻止 IP 泄露的多种功能或官方扩展,尽管它们导致 WebRTC 的某些实时通信功能遭破坏。

尽管如此,浏览器并未禁用 WebRTC,而且几乎在所有主流浏览器中该功能仍然被启用,除了 Tor、Edge 和 IE 浏览器外。


如下是 Stagno 发现易受 IP 泄露问题影响的 VPN 提供商列表。截至目前,约80个商用 VPN 提供商尚未测试。可参考 Stagno 的 Google Docs 文档查看更新结果。

BolehVPN (仅美国)
ChillGlobal (Chrome 和Firefox插件)
Glype (取决于配置)
hide-me.org
Hola!VPN
Hola!VPN Chrome Extension
HTTP PROXY:支持 Web RTC 的浏览器导航
IBVPN Browser Addon
PHP Proxy
phx.piratebayproxy.co
psiphon3(如使用 L2TP/IP则不会泄露 IP 地址)
PureVPN
SmartHide Proxy (取决于配置)
SOCKS Proxy:如浏览器启用 Web RTC
SumRando Web Proxy
TOR as PROXY:如浏览器启用 WebRTC
Windscribe Addons

 

某些 VPN 服务收集日志

TheBestVPN.com 开展的研究表明,在所测115个 VPN 中,有26个 VPN 收集某种日志文件。

虽然这项研究并未分析真实的 VPN 客户端安装程序,但每家服务均在网上公布了隐私策略。

本文翻译自www.bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66